APIGoogle Cloud

Este documento fornece orientações para ajudar você a configurar e integrar a APIGoogle Cloud ao Google Security Operations SOAR.

Versão da integração: 4.0

Integrar a API Google Cloud ao SOAR do Google SecOps

A integração requer os seguintes parâmetros:

Parâmetros Descrição
Test URL Opcional

Um URL de teste para validar a autenticação na API Google Cloud . Esse parâmetro usa uma solicitação GET.
Service Account Json File Content Opcional

O conteúdo do arquivo JSON da chave da conta de serviço.

Você pode configurar este parâmetro, o parâmetro Workload Identity Email ou definir todos os parâmetros de integração anteriores.

Para configurar esse parâmetro, forneça todo o conteúdo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço.

Para mais informações sobre como usar contas de serviço como um método de autenticação, consulte Visão geral das contas de serviço e Representação de conta de serviço.

Nessa integração, a autenticação com o arquivo JSON da chave da conta de serviço tem prioridade sobre o e-mail da identidade da carga de trabalho.
Organization ID Opcional

O ID da organização a ser usado na integração.

Para extrair o valor desse parâmetro durante a execução da ação, defina o seguinte marcador de posição: {{org_id}}.

Project ID Opcional

O ID do projeto a ser usado na integração.

Para extrair o valor desse parâmetro durante a execução da ação, defina o seguinte marcador de posição: {{project_id}}.
Quota Project ID Opcional

O ID do projeto Google Cloud que você usa para APIs Google Cloud e faturamento. Para usar esse parâmetro, conceda o papel Service Usage Consumer à sua conta de serviço.

A integração anexa esse valor de parâmetro a todas as solicitações de API.

Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud .
Workload Identity Email Opcional

O endereço de e-mail do cliente da sua conta de serviço.

É possível configurar este parâmetro ou o Service Account Json File Content.

Nessa integração, a autenticação com o arquivo JSON da chave da conta de serviço tem prioridade sobre o e-mail da identidade da carga de trabalho.

Para representar contas de serviço com a Identidade da carga de trabalho, conceda o papel Service Account Token Creator à sua conta de serviço. Para mais detalhes sobre identidades de carga de trabalho e como trabalhar com elas, consulte Identidades para cargas de trabalho.
OAuth Scopes Opcional

Uma lista separada por vírgulas de escopos do OAuth necessários para executar as solicitações da API Google Cloud .
Verify SSL Obrigatório

Se selecionada, a integração verifica se o certificado SSL para conexão com o serviço Google Cloud é válido.

Essa opção é selecionada por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

A integração da API Google Cloud inclui as seguintes ações:

Executar solicitação HTTP

Use a ação Executar solicitação HTTP para executar uma solicitação HTTP.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Executar solicitação HTTP exige os seguintes parâmetros:

Parâmetro Descrição
Method Opcional

Um método a ser usado na solicitação.

O valor padrão é GET.

Os valores possíveis são:
  • GET
  • POST
  • PUT
  • PATCH
  • DELETE
  • HEAD
  • OPTIONS
URL Path Opcional

Um URL a ser executado.

O valor padrão é https://.
URL Params Opcional

Os parâmetros de URL.

A ação usa qualquer valor fornecido junto com os valores que você informou diretamente no parâmetro Caminho do URL.

Esse parâmetro exige o formato de objeto JSON como entrada. O valor padrão é:

{
    "URL Field Name": "URL_FIELD_VALUE"
    }
Headers Opcional

Cabeçalhos a serem usados na solicitação HTTP.

Esse parâmetro exige o formato de objeto JSON como entrada. O valor padrão é:

{
    "Content-Type": "application/json; charset=utf-8",
    "Accept": "application/json",
    "User-Agent" : "GoogleSecOps"
    }
Cookie Opcional

Os parâmetros a serem usados no cabeçalho Cookie.

Esse parâmetro substitui os cookies fornecidos no parâmetro Headers.

Esse parâmetro exige o formato de objeto JSON como entrada. O valor padrão é:

{
    "Cookie_1": "COOKIE_1_VALUE"
    }
Body Payload
 Opcional

Um corpo para a solicitação HTTP. A ação cria payloads diferentes dependendo do valor do cabeçalho Content-Type fornecido no parâmetro Headers.

Esse parâmetro exige o formato de objeto JSON como entrada, exceto quando um produto de terceiros exige XML ou o conteúdo multipart/form-data. Se você enviar ou fazer upload de um arquivo usando a solicitação de API, forneça a versão codificada em base64 do arquivo no parâmetro Payload do corpo e defina o cabeçalho como "Content-type": "multipart/form-data".

O valor padrão é:

{
    "Body Field Name": "BODY_FIELD_VALUE"
    }
Expected Response Values Opcional

Os valores de resposta esperados.

Se você configurar esse parâmetro, a ação vai funcionar em um modo assíncrono e será executada até receber os valores esperados ou atingir um tempo limite.
Save To Case Wall Opcional

Se selecionada, a ação salva o arquivo e o anexa ao Painel de Casos. O arquivo é arquivado com a extensão .zip. O arquivo .zip não é protegido por senha.

Não selecionada por padrão.
Password Protect Zip Opcional

Se selecionada, a ação adiciona uma senha ao arquivo .zip criado usando o parâmetro Save To Case Wall. A senha é: infected.

Use esse parâmetro ao trabalhar com arquivos suspeitos.

Essa opção é selecionada por padrão.
Follow Redirects Opcional

Se selecionada, a ação segue os redirecionamentos.

Essa opção é selecionada por padrão.
Fail on 4xx/5xx Opcional

Se selecionada, a ação vai falhar se o código de status da resposta for um erro 4xx ou 5xx.

Essa opção é selecionada por padrão.
Base64 Output Opcional

Se selecionada, a ação converte a resposta para o formato base64.

Use esse parâmetro ao fazer o download de arquivos.

O resultado JSON não pode exceder 15 MB.

Não selecionada por padrão.
Fields To Return Obrigatório

Os campos a serem retornados. Os valores possíveis são os seguintes:

  • response_data
  • redirects
  • response_code
  • response_cookies
  • response_headers
  • apparent_encoding
Request Timeout Obrigatório

Um período para aguardar o servidor enviar dados antes da falha da ação.

O valor padrão é de 120 segundos.

Saídas de ação

A ação Executar solicitação HTTP fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Executar solicitação HTTP:

{
   "response_data": {
       "data": {
           "relationships": {
               "comment": [
                   {
                       "name": "item",
                       "description": "Object to which the comment belongs to."
                   },
                   {
                       "name": "author",
                       "description": "User who wrote the comment."
                   }
               ]
           }
       }
   },
   "redirects": [],
   "response_code": 200,
   "cookies": {},
   "response_headers": {
       "Content-Type": "application/json",
       "X-Cloud-Trace-Context": "VALUE",
       "Date": "Fri, 03 Nov 2023 16:14:13 GMT",
       "Server": "Google Frontend",
       "Content-Length": "36084"
   },
   "apparent_encoding": "ascii"
}
Mensagens de saída

A ação Executar solicitação HTTP fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully executed API request.

Successfully executed API request, but the status code {4xx/5xx} was returned. Please check the request or try again later.

 A ação foi concluída.
Failed to execute API request. Error: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Executar solicitação HTTP:

Nome do resultado do script Valor
is_success True ou False

Ping

Use a ação Ping para testar a conectividade com Google Cloud.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Ping:

{
"endpoint": "TEST_URL"
}
Mensagens de saída

A ação Ping fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully tested connectivity. A ação foi concluída.
Failed to test connectivity.

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.